Introducción al riesgo dinámico de ciberseguridad
Definir niveles de riesgo a los ciber asaltos a los que se expone cualquier empresa es una prioridad de este tiempo. Os presentamos el primero de tres artículos que, en conjunto, representan una introducción al riesgo dinámico de ciberseguridad
El riesgo dinámico de ciberseguridad facilita que las empresas independientemente de su tamaño obtengan indicadores que ayudan a comprender el impacto que producen las vulnerabilidades en su ecosistema.
Los ataques que se originan en el ciberespacio, o ciberataques, se producen sobre la tecnología. Esta afirmación radica en un hecho principal, en el ciberespacio, el medio para llegar desde un punto A hasta un punto B es a través de dispositivos hardware y software como la electrónica de red, comunicaciones por satélite, cableadas e inalámbricas, sistemas y aplicaciones software que permiten conectar al usuario con el ciberespacio e interactuar con él.
No obstante, a pesar de que el medio es tangible (podemos tocarlo o percibirlo de forma precisa), podríamos afirmar que la principal motivación de un ciberatacante es la información, el conocimiento, el dato, un objetivo reputacional, el individuo, o las personas, es decir, el intangible.
Algunas cuestiones como, ¿Mi compañía está en riesgo en este instante?, ¿Cómo afectan las vulnerabilidades identificadas al negocio, es cuantificable?,¿Qué nivel de riesgo tiene la organización?, ¿Cuál sería el impacto sobre mi negocio en caso de producirse un ciberataque?, ¿Dónde debería invertir para reforzar mis defensas?.
Las cuestiones anteriores son algunos ejemplos de preguntas que se plantean de forma habitual en reuniones departamentales, foros de seguridad, comités de empresa y conversaciones relacionadas con riesgos de ciberseguridad, amenazas y vulnerabilidades de empresas de cualquier tamaño.
Como veremos en posteriores artículos, es posible determinar cómo las vulnerabilidades presentes en la tecnología producen un impacto que afecta no sólo a la propia tecnología, sino también a la información que almacena y procesa, debido a la relación existente entre tecnología e información.
¿Son vulnerabilidades, riesgos o amenazas?
Para comprender cómo medir el nivel de riesgo dinámico de ciberseguridad en una organización, conviene antes conocer la diferencia de riesgo y “peligro”.
El término “peligro” se refiere a una situación de amenaza para la vida o bienestar de un individuo, mientras que “riesgo” se refiere a la probabilidad que dicha situación peligrosa se lleve a cabo o no. La RAE define “riesgo” como “contingencia o proximidad de un daño”.
Aplicado a nuestro mundo, el riesgo dinámico de ciberseguridad determina la probabilidad de que una amenaza actúe sobre uno o varios activos de una organización causando daños o pérdidas para esta.
Las amenazas por otro lado, son circunstancias o eventos que pueden provocar la explotación intencionada o no de una vulnerabilidad. Estas se pueden clasifican en tres grandes grupos:
- Naturales: Tornado, Huracán, inundaciones, etc.
- Malintencionadas: Spyware, Malware, o acciones malintencionadas.
- No malintencionadas: Como por ejemplo el error de un empleado dejándose una sesión abierta por descuido.
Por último, las vulnerabilidades son debilidades o faltas de control que facilitan que una amenaza pueda producir un impacto, daño o degradación. No sólo afectan a los activos IT, también a los controles o salvaguardas implementadas, o que faltan en los procedimientos dedicados a protegerlos.
Las vulnerabilidades por su parte, se agrupan en las siguientes:
- Humanas
- Naturales
- Tecnológicas
- De la organización
Un ejemplo hipotético de aplicación de estos conceptos sería el siguiente:
Ha sido posible identificar que la compañía tiene presentes vulnerabilidades que afectan a los sistemas operativos “N 2020” y podrían permitir la instalación de software malicioso, los sistemas “N 2020” son utilizados en los portátiles de usuarios VIP.
O dicho de otro modo,
Las vulnerabilidades podrían permitir la materialización de una amenaza de tipo malware, provocando un riesgo muy alto para la organización, ya que pueden afectar a la confidencialidad, integridad y disponibilidad de la información de los usuarios.
El intangible como motivación
A diario se producen ciberataques, estos tienen distinta envergadura y repercusión, algunos están dirigidos al usuario doméstico, otros tienen como objetivo empleados de empresas, multinacionales e incluso los que están dirigidos a organismos públicos y sectores críticos.
Los ciberataques están originados por actores conocidos, tales como: agentes de perfil bajo (individuos aislados o poco organizados), ciber activistas, ciber terroristas, grupos organizados o incluso estados que los utilizan para mejorar su posición estratégica, bien con un objetivo estudiado y premeditado, o bien, como consecuencia de un hallazgo fortuito, en algunas ocasiones originado por el descuido, o por una coincidencia que da pie al origen de una investigación. Son incidentes intencionados y no intencionados.
Un ejemplo de ciberataque es el que tiene como objetivo provocar la degradación o indisponibilidad del servicio, tratando de impactar directamente en la infraestructura tecnológica y ocasionar así, una pérdida económica o reputacional, etcétera, para ello, los ciberatacantes aprovechan las debilidades presentes en aplicaciones de software, sistemas operativos, aplicaciones web, electrónica de red, etcétera, con el fin explotarlas y conseguir su objetivo.
Cuando realizamos una búsqueda en internet relacionada con los ciberataques más comunes en los últimos 10 años, los que más daño o impacto han causado, o los que han tenido mayor repercusión, obtendremos una lista similar a la siguiente:
- Denegaciones de Servicio Distribuidas (DDoS)
- Malware (ransomware)
- Phishing (y Spear Phishing)
- Inyecciones SQL (SQLi)
- Ataques de hombre en medio (MITM)
- Ataques de fuerza bruta (Brute Force)
- Secuencias de comandos en sitios cruzados (Cross-Site Scripting XSS)
- Escucha de conversaciones de forma pasiva (Eavesdropping), o activa (Tampering)
Del listado anterior, y clasificado por tipología de ataque, en un alto porcentaje observaremos que la información es el objetivo. Es la información como contraseñas de usuario, datos personales, datos bancarios de individuos y empresas o información para el espionaje industrial, entre otros muchos ejemplos, el objetivo de los ciberatacantes.
¿Es posible afirmar entonces que la principal motivación de un ciber atacante, es la información, el conocimiento, el intangible?.
Es habitual centrar la atención en proteger las infraestructuras tecnológicas, actualizar versiones de software, parches de seguridad o barreras de contención porque son medidas que nos permiten mejorar el estado de salud y mitigan la aparición de vulnerabilidades y ya hemos visto cual es la posible relación con nuestra información.
En el equipo de ciberseguridad de Tarlogic creemos que esta no debería ser la única dimensión a tratar cuando trabajamos en mejorar el estado de salud de nuestra organización, ya que el enfoque de la información, dónde reside, cual es o no crítica para el negocio, cómo protegerla, quien tiene acceso a ella, o cómo y cuándo accede, son también parámetros necesarios a la hora de establecer nuestra estrategia de ciberseguridad y pueden incluirse como objetivo de evaluación a través de revisiones de seguridad y test de intrusión dirigidos por parte de un proveedor de servicios avanzados de ciberseguridad.
Descubre nuestro trabajo y nuestros servicios de riesgo dinámico y priorización de amenazas.
Este artículo forma parte de una serie de articulos sobre riesgo dinámico ciberseguridad
- Introducción al riesgo dinámico de ciberseguridad
- Valoración del riesgo dinámico de ciberseguridad